Video: HACKLOG 2x15 - Attacchi all'Autenticazione Web (Sicurezza sulle Password) (Settembre 2024)
In ciascuno dei recenti attacchi a Evernote, Facebook, Twitter e altri, le aziende coinvolte hanno sottolineato rapidamente che le password sono rimaste sicure. Ma le informazioni dell'utente hanno una vita propria e gli effetti di un attacco su un individuo possono essere avvertiti molto dopo la fine dell'attacco.
Gli attacchi che abbiamo visto
In genere ciò che senti quando una grande azienda è stata compromessa è qualcosa sulla falsariga di come le informazioni di pagamento sono ancora sicure, le password sono state crittografate, ma altre informazioni erano accessibili. Di solito, questo include nomi utente ed e-mail.
Per la maggior parte di noi, ciò potrebbe non sembrare pericoloso. Dopotutto, inviamo continuamente le nostre e-mail, e le pubblichiamo anche online. Ma ci sono rischi per gli utenti a cui è stata esposta anche questa piccola quantità di informazioni.
Derek Halliday, senior product manager di Lookout mobile security, ha spiegato a SecurityWatch come queste informazioni possono rendere gli utenti target. "Le informazioni sull'account possono essere utilizzate per abilitare potenzialmente lo spearphishing perché forniscono alcune informazioni contestuali uniche sulle persone - un modo per contattarle", ha affermato. "E il fatto che ad un certo punto si siano registrati per un determinato servizio."
Questo è il motivo per cui le e-mail di avviso legittime spesso ricordano agli utenti a cui potrebbero essere state esposte le informazioni che nessuno chiederà mai la loro password. Se un hacker sa che usi Evernote (per esempio), è un lavoro breve creare un messaggio che sembra provenire da Evernote e inviarlo all'indirizzo email che usi per gestire il tuo account. Forse ti verrà chiesto di fornire la tua password o le informazioni di pagamento, o forse ti indurranno a fare clic su un link dannoso.
"Abbiamo visto cyber criminali che sono disposti a impegnarsi nel 'lungo truffatore'", ha dichiarato Mark Risher, co-fondatore e CEO di Impermium. "Un attacco in più passaggi che va oltre il furto diretto di dati sensibili."
"Quando i criminali entrano in un account di un social network, spesso possono trovare dettagli personali che aggiungono legittimità a un spearphishing", ha continuato Risher, che ha citato un'associazione di ex studenti come uno di questi dettagli personali. Spiegò che poteva essere usato per sbloccare la funzione "domanda segreta", che a volte ti chiedeva quale fosse la mascotte della tua scuola, o il nome del tuo primo animale domestico, su un altro sito web.
Il caso peggiore
Chester Wisniewski, consulente senior per la sicurezza di Sophos, ha affermato che anche se Evernote e altri siti Web recentemente compromessi hanno protetto le loro password con hash crittografici e dati "salt" casuali, non tutti gli utenti potrebbero essere protetti. Ha spiegato che se gli utenti scelgono password deboli o comuni ", probabilmente i criminali ce l'hanno".
Con le informazioni limitate disponibili, le password più semplici potrebbero essere ancora recuperate. "I criminali avranno hash di quelli veramente facili e potrebbero non preoccuparsi degli altri", ha detto Wisniewski.
Per alcuni dei cattivi, è sufficiente ottenere l'accesso agli account dei social media come Facebook o Twitter. Alcuni lo utilizzano come un'opportunità per fare soldi, tentando di diffondere infezioni da malware. Gli aggressori più intraprendenti possono provare a utilizzare la password rubata per sbloccare un account di webmail.
"Spesso cercano posta dalla banca dell'utente; spesso in quella banca esiste una funzione" Ho dimenticato la password "che si basa esclusivamente sull'accesso all'account e-mail", ha affermato Risher.
Continuando nello scenario peggiore, gli aggressori potrebbero non essere eseguiti dopo aver ottenuto l'accesso alle informazioni bancarie online. "Molti di questi ragazzi non si impegneranno direttamente nel furto di identità, lo venderanno", ha detto Wisniewski.
Ha continuato spiegando che nel caso dei trojan bancari, gli aggressori useranno il 10 percento dei conti principali, ovvero quelli con i fondi più disponibili, e venderanno l'altro 90 percento delle informazioni. Ciò significa che le informazioni dell'utente, una volta compromesse, possono continuare a essere utilizzate e riutilizzate fino a quando il proprietario non riprende finalmente il controllo.
Tieniti al sicuro
"La buona notizia in tutte le recenti è che non è stato preso nulla di identificazione personale", ha affermato Wisniewski, sottolineando più volte che le aziende interessate sembravano aver fatto almeno dei buoni passi per proteggere le informazioni degli utenti.
Ma come abbiamo visto, non è sempre abbastanza. Gli utenti devono prestare attenzione agli avvisi per modificare le password quando richiesto dai servizi compromessi. Dovrebbero anche sforzarsi di selezionare password forti e uniche per ogni servizio online, magari utilizzando un gestore di password per semplificare l'attività.
La cosa importante da capire è che le informazioni dell'utente sono preziose e possono ancora essere utili agli aggressori molto tempo dopo aver protetto un account interessato. Internet offre numerosi modi per divertirsi e lavorare, ma offre anche altrettanti percorsi di attacco.
